Submit Search
Upload
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
•
Download as PPTX, PDF
•
2 likes
•
1,665 views
Yuji Kazan
Follow
去年のインストールマニアックス打ち上げで発表したプレゼン資料を見つけたのでアップしてみる
Read less
Read more
Technology
Report
Share
Report
Share
1 of 24
Download now
Recommended
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
SQL Server アンチパターン MVPComCamp
SQL Server アンチパターン MVPComCamp
elanlilac
「クラウド税務・会計・給与システム開発にスピードを!A-SaaSがSencha Ext JS/Sencha Testを導入した軌跡」
「クラウド税務・会計・給与システム開発にスピードを!A-SaaSがSencha Ext JS/Sencha Testを導入した軌跡」
Embarcadero Technologies
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
セキュリティ関連OSSツール紹介
セキュリティ関連OSSツール紹介
kataware
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Recommended
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
SQL Server アンチパターン MVPComCamp
SQL Server アンチパターン MVPComCamp
elanlilac
「クラウド税務・会計・給与システム開発にスピードを!A-SaaSがSencha Ext JS/Sencha Testを導入した軌跡」
「クラウド税務・会計・給与システム開発にスピードを!A-SaaSがSencha Ext JS/Sencha Testを導入した軌跡」
Embarcadero Technologies
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
セキュリティ関連OSSツール紹介
セキュリティ関連OSSツール紹介
kataware
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
Text editor anywhereでtextareaもsublime text 2
Text editor anywhereでtextareaもsublime text 2
Masayuki Maekawa
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
Kobe sec#7 summary
Kobe sec#7 summary
Yukio NAGAO
一から作る業務システム vol.1
一から作る業務システム vol.1
Mitsuaki Kida
やってみましたCMS XOOPS
やってみましたCMS XOOPS
jorurijin
バグハントの話2016up
バグハントの話2016up
Yuji Kazan
Av tokyo2013.5 バウンティハンターになろう
Av tokyo2013.5 バウンティハンターになろう
Yuji Kazan
Windows Azureの登録
Windows Azureの登録
Yuji Kazan
LTっぽくブログを書いてみるテスト
LTっぽくブログを書いてみるテスト
Yuji Kazan
できる!?Companion
できる!?Companion
Yuji Kazan
After companion installarion
After companion installarion
Yuji Kazan
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
More Related Content
Similar to インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
Text editor anywhereでtextareaもsublime text 2
Text editor anywhereでtextareaもsublime text 2
Masayuki Maekawa
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
Kobe sec#7 summary
Kobe sec#7 summary
Yukio NAGAO
一から作る業務システム vol.1
一から作る業務システム vol.1
Mitsuaki Kida
やってみましたCMS XOOPS
やってみましたCMS XOOPS
jorurijin
Similar to インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
(6)
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Text editor anywhereでtextareaもsublime text 2
Text editor anywhereでtextareaもsublime text 2
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
Kobe sec#7 summary
Kobe sec#7 summary
一から作る業務システム vol.1
一から作る業務システム vol.1
やってみましたCMS XOOPS
やってみましたCMS XOOPS
More from Yuji Kazan
バグハントの話2016up
バグハントの話2016up
Yuji Kazan
Av tokyo2013.5 バウンティハンターになろう
Av tokyo2013.5 バウンティハンターになろう
Yuji Kazan
Windows Azureの登録
Windows Azureの登録
Yuji Kazan
LTっぽくブログを書いてみるテスト
LTっぽくブログを書いてみるテスト
Yuji Kazan
できる!?Companion
できる!?Companion
Yuji Kazan
After companion installarion
After companion installarion
Yuji Kazan
More from Yuji Kazan
(6)
バグハントの話2016up
バグハントの話2016up
Av tokyo2013.5 バウンティハンターになろう
Av tokyo2013.5 バウンティハンターになろう
Windows Azureの登録
Windows Azureの登録
LTっぽくブログを書いてみるテスト
LTっぽくブログを書いてみるテスト
できる!?Companion
できる!?Companion
After companion installarion
After companion installarion
Recently uploaded
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
Recently uploaded
(9)
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
1.
2.
インストールマニアックス お疲れ様でした!
3.
自己紹介
4.
インストールマニアッ クスの中の人
5.
インストール マニアックス 終了
6.
別の仕事
7.
資格試験の 問題作成
8.
資格試験 終了
9.
仕事がない! 仕事ください
10.
ぼくのインストールマニアックス たくさんインストールしても 最後には 順位から除外されるのが ぼくのインストールマニアッ クス
11.
なぜ? 関係者だからあたりまえ…
12.
つまんない… でもそこそこ数は入れます。 お仕事ですから。
13.
それはともかく インストールしたOSSって つい使ってみたくなるよね
14.
使ってみると脆弱性が! 脆弱性発見 マニアックスを (勝手に)開催
15.
どんな脆弱性が見つかった? ・XSS ・SQLインジェクション ・セッション固定 ・不正なファイルのアップロード
16.
XSS 何ができる? ・好きなタグが埋められる ・セッションハイジャック ・偽サイトに誘導 ・偽ポップアップの表示 反射型(Type1) http://192.168.5.5/conc/index.php/tools/blocks/image/crop_image?bID=70&width=“ ><script>alert(document.cookie)</script>&height=212&fID=2 埋込み型(Type2) Dom-Base 反射型はIEとChrome/Safariならほとんど防がれるよ
17.
SQLインジェクション なにができる? ・データベースの書き換え ・データベースの読み出し ・データの削除 ・ファイルの書き込み http://example.jp/?user=‘ or 1=1— みたいなURLで勝手ににログインすることができることも
18.
セッション固定 ・ログインセッションを任意の値に強制的に設定する ・http://maniax.jp/?phpsessid=1 みたいなURLでアクセスさせることで強制的にセッションIDを1にする。 ・別のユーザーが同じセッションIDをセットすることでハイジャック
19.
不正なファイルのアップロード ・シェルのアップロード ・脆弱性のあるファイルのアップロード ・誰でもphpファイルをアップロードできると、WebからOSコマンド実行も可能に
20.
どのOSSに脆弱性があった? (修正が確認されたものに限定) BigAce CMS XSSとセッション固定 BabyGekko SQLインジェクションとXSS Concrete5
反射型XSS Imgboard 反射型XSS SmallPict 埋め込みXSS Web Patio 埋め込みXSS YY-Board 埋め込みXSS ZenPhoto 埋め込みXSS Smarty 反射型XSS
21.
他にも脆弱性未修正のOSSもあります Flo□CMS Wor□Press EC-□ube Sh□tter Tiki□iki Cil□x Ph□nuke cy□pe
22.
まとめ ・OSSには思った以上に脆弱性があるよ ・メンテされていないOSSは脆弱性が残ったまま放置されているものがあるから 調べてから使ったほうがいいよ ・まめに修正されているので最新を使おう ・報告はIPAが楽だよ ・報告しても一円にもならないよ
23.
みんなで脆弱性を見つけて 安全なOSSにしていきましょう
24.
おわり ご清聴ありがとうございました。
Download now